Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Psevdonimizacija

+ -

Na kratko

  • Psevdonimizacija pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku. Običajno gre za preslikavo 1:1, s katero osebne podatke pretvorimo v negovoreče kode, šifre oz. psevdonime. Gre lahko za učinkovit ukrep za zagotavljanje minimizacije obdelave podatkov, za varnost podatkov in izkazovanje skladnosti s temeljnimi načeli varstva osebnih podatkov. Psevodnimizacije ne smemo enačiti z anonimizacijo osebnih podatkov, saj se psevdonimi še vedno obravnavajo kot osebni podatki -  psevdonimizirane podatke je še vedno mogoče pripisati določljivemu posamezniku, le da je za to potreben dodaten korak.
  • RELEVANTNI ČLENI UREDBE
    Uvodne  določbe 26, 28, 29, 75, 78, 85, 156
    Členi:  4, 6, 25, 32, 40, 89
  • OBVEZNO BRANJE: Smernice o psevdonimizaciji (Evropski odbor za varstvo podatkov, št. 01/2025)

Kaj je psevdonimizacija?

Namen oz. cilj psevdonimizacije je ohraniti nadzor nad možnostjo pripisovanja osebnih podatkov določenim/določljivim posameznikom oziroma onemogočanje tega osebam ali organizacijam, za katere ne želimo, da vedo, na katere posameznike se nanašajo podatki. Nadzor se lahko nanaša na notranje enote upravljavca ali pa na zunanje prejemnike ali obdelovalce podatkov. Številne cilje obdelav podatkov je namreč mogoče povsem učinkovito doseči s psevdonimiziranimi podatki in za to ni potrebna obdelava »surovih« osebnih podatkov (npr. izvajanje statističnih in analitičnih obdelav, nadzor kakovosti obdelav podatkov ipd.). Psevdonimizacija se lahko v določenih primerih izvede že ob samem zajemu podatkov (govoreče identifikatorje oseb se zamenja s psevdonimi, npr. EMŠO kupca s »šifra kupca«, številko kartice z naključno generirano unikatno vrednostjo ipd.) in se na ta način bistveno omeji možnosti zlorab ter v praksi upošteva načelo vgrajenega in privzetega varstva osebnih podatkov.

Primeri:

  • Ponudnik mobilne aplikacije, ki predlaga zdravilo uporabnikom glede na vnesene simptome želi interno preverjati, ali njegova aplikacija pravilno deluje, ne želi pa, da se za ta namen določenim oddelkom razkriva identiteta uporabnikov aplikacije. Oddelek za kakovost mora preverjati točnost podanih nasvetov, zato prejme in uporablja psevdonimizirane podatke.
  • Podjetje upravljava s spletno trgovino in želi analizirati podatke o nakupih, da bi ugotovilo korelacije med prodanimi izdelki. Nakupne podatke v psevdonimizirani obliki (npr. podatke o nakupih »stranke 5124«) obdela ločen oddelek, ki nima dostopa do dejanske identitete kupcev.
  • Podjetje ponuja spletno svetovanje, tudi na zelo občutljivih podatkih, katerih razkritje bi resno škodilo uporabniku. Zaradi visokih zahtev po varnosti želi omogočiti dostop do podatkov zunanjemu ponudniku storitev informacijske varnosti. S psevdonimizacijo želi vplivati na izid tehtanja interesov pri uporabi podlage legitimnih interesov.
  • Organizacija uporablja sistem za nadzor nad lokacijo službenih vozil, ne želi pa izvajati nesorazmernega nadzora nad lokacijo vozil in voznikov, če za to ni izrecnega in legitimnega razloga (npr. kraja vozila). Podatki o voznikih in o opravljenih poteh se zato vodijo ločeno v psevdonimizirani obliki in se lahko uparijo le v primeru vnaprej opredeljenih incidentov, prav tako je omejen nabor oseb, ki to lahko storijo.

Več primerov najdete v smernicah Evropskega odbora z varstvo podatkov.

Sestavni del psevdonimizacije je ustvarjanje „dodatnih informacij«. Dodatne informacije so informacije, ki omogočajo, da se psevdonimizirani podatki pripišejo določeni/določljivi osebi (ključi, tabele, šifranti ipd.) in jih je treba šteti za osebne podatke. Upoštevati je treba, da dodatne informacije niso vedno pod izključnim nadzorom organizacije, ki zasleduje prednosti psevdonimizacije (npr. javno dostopne informacije, objave na spletu…), zlasti pa je pomembno, da se psevdonimizirani podatki (še vedno) štejejo za osebne podatke, tudi če so podatki o osebah in dodatne informacije razpršene med različnimi subjekti. Prav tako izbris dodatnih informacij še ne pomeni avtomatsko, da so preostali podatki anonimni!

Katere so prednosti psevdonimizacije?

Organizacije lahko uporabijo psevdonimizacijo kot učinkovit ukrep za:

  • minimizacijo obdelave osebnih podatkov, kot enega temeljnih načel varstva osebnih podatkov;
  • izkazovanje skladnosti z načelom vgrajenega in privzetega varstva podatkov,
  • tehtanje interesov pri uporabi pravne podlage zakonitih interesov,
  • izkazovanje združljivosti namenov in preprečevanje nenamenske uporabe,
  • varnost podatkov ter
  • kot dopolnilni ukrep pri prenosu osebnih podatkov v tretje države.

Kako psevdonimizacija zmanjšuje tveganja za zlorabe osebnih podatkov?

Z uporabo psevdonimizacije lahko zmanjšamo naslednja tveganja:

  • psevdonimizacija preprečuje razkritje neposrednih identifikatorjev oseb nekaterim ali vsem upravičenim prejemnikom/uporabnikom;
  • v primeru razkritja psevdonimiziranih podatkov zmanjšuje resnost posledic izgube zaupnosti podatkov;
  • psevdonimizacija lahko zmanjša tveganja uporabe podatkov za druge namene (angl. function creep effect);
  • psevdonimizacija lahko prispeva k zmanjševanju tveganj iz naslova točnosti podatkov (prim. dve zelo podobni EMŠO številki ali dva zelo različna psevdonima, ki nastaneta pri tvorbi psevdonima z uporabo enosmernih zgoščevalnih funkcij):

EMŠO                    - >     psevdonim

2105987500255     - >     fd974696bcb761908ea65fb8a91c8f9f142e883b6d595b40fd127ebdcbec58ab

2105987500256     - >     d6ef88d670c8cdf87ab655f94da1b5e4b2ac047df56ed2011b0feac1d1c17592

Potrebne aktivnosti upravljavcev za doseganje ciljev psevdonimizacije

Da bi lahko dosegla cilje psevdonimizacije mora organizacija:

a)    spremeniti osnovne podatke, ki omogočajo določljivost posameznikov,

b)    ločeno in nadzorovano hraniti dodatne informacije, ki omogočajo določljivost in

c)    uporabljati tehnične in organizacijske ukrepov za zagotovitev, da se podatki ne pripišejo določenemu/določljivemu posamezniku

Psevdonimizacija se lahko glede na zasledovane cilje nanaša na t.i. psevdonimizacijsko domeno, ki je lahko:

a)    določena/-e organizacijsko/-e enoto/-e znotraj organizacije,

b)    posamezni zunanji prejemnik,

c)    vse pooblaščene ali predvidene prejemnike,

d)    kakor tudi na morebitne nepooblaščene prejemnike podatkov.

Psevdonimizirani podatki ne smejo vsebovati neposrednih identifikatorjev, te se lahko zamenja z novimi identifikatorji = psevdonimi. Ta proces zamenjave podatkov imenujemo preobrazba podatkov s psevdonimizacijo. Psevdonimizacija vedno vključuje skrivne podatke – „psevdonimizacijske skrivnosti“, ki so lahko:

a)    generirane ali izbrane,

b)    kriptografski ključi (npr. pri enosmernih zgoščevalnih funkcijah)

c)    v obliki tabel (šifrantov), ki povezujejo izvorne podatke in psevdonime.

Psevdonimizacijske skrivnosti sodijo med „dodatne informacije“ v smislu definicije psevdonimizacije in organizacije jih morajo posebej varovati kot zaupne parametre ali ključe oziroma z zaupno hrambo poizvedovalnih tabel. Brez psevdonimizacijskih skrivnosti ne sme biti možno generiranje psevdonimov!

Najpogostejše metode psevdonimizacije vključujejo uporabo:

a)    kriptografskih algoritmov

  • npr. enosmerne zgoščevalne funkcije;
  • psevdonimizacijska skrivnost je skrivni parameter ali ključ;
  • iz psevdonima mora biti praktično nemogoče priti nazaj do surovega podatka;
  • onemogočeni morajo biti napadi s surovo močjo (angl. brute-force attacks);
  • tehnološki in kriptografski napredki terjajo stalno menjavo algoritmov, za  katere so bile ugotovljene ranljivosti ali nepravilnosti v delovanju.
     

b)   poizvedovalnih tabel

  • tabele oziroma šifranti uparjajo psevdonimizirane in surove podatke;
  • psevdonimizacijska skrivnost je sama tabela;
  • takšne tabele se obravnava kot osebne podatke.

Psevdonimizacija in varnost podatkov

Psevdonimizacija je lahko eden od ukrepov, ki pripevajo k varnosti podatkov (glej 32. člen Splošne uredbe), saj lahko omeji resnost posledic v primeru nepooblaščenih dostopov do podatkov ali izgubah podatkov in se lahko upošteva pri ugotavljanju izpolnjevanja dolžnosti upravljavcev/obdelovalcev glede poročanja o kršitvah varnosti (33. in 34. člen Splošne uredbe).

Primer: izguba zdravstvene dokumentacije, na kateri so navedeni identifikacijski podatki pacienta (ime in priimek, spol, starost, prebivališče ipd.) je vsekakor povezana z večjimi tveganji, kot če se izgubi dokumentacija, ki je opremljena le s črtno kodo pacienta in ne vsebuje identifikacijskih podatkov te osebe. Opozorilo: oseba je še vedno lahko določljiva iz drugih podatkov iz zdravstvene dokumentacije, zato se tudi tako opremljeno dokumentacijo še vedno obravnava kot osebne podatke! Psevdonimizacije ne smemo poenostavljeno enačiti s šifriranjem ali anonimiziranjem podatkov. 

Pomembno je, da so dodatne informacije, ki lahko omogočijo pripisovanje podatkov posameznikov, varno hranjene izven psevdonimizacijske domene.

Reverzija psevdonimizacije se lahko zgodi z:

a)    z identifikacijo posameznikov,

b)    s povezovanjem psevdonimiziranih in izvornih podatkov ali

c)    z rekonstrukcijo izvornih podatkov iz psevdonimiziranih podatkov.

Tehnični, organizacijski in pravni ukrepi morajo zagotavljati, da subjekti znotraj psevdonimizacijske domene ne morejo izvesti reverzije psevdonimizacije. Neodobrena reverzija psevdonimizacije pomeni kršitev varnosti podatkov!

Psevdonimizacija in anonimizacija

Kot smo že poudarili psevdonimizacije ne smemo enačiti z anonimizacijo (osebnih) podatkov). Psevdonimizacija praviloma pomeni preslikavo 1:1, surove osebne podatke zamenjamo z negovorečimi šiframi (psevodnimi) in tako zmanjšamo verjetnost, da bi pri obdelavi prišlo do nepooblaščene seznanitve s tem, na koga se podatki dejansko nanašajo. Psevdonimizacijske skrivnosti, ki omogočajo pripisovanje podatkov določljivim osebam, obstajajo, a je dostop do njih omejen. 

Primer: Upravljavec omejuje vstop v del poslovnih prostorov, ki je dovoljen samo osebam z veljavnim dovoljenjem, zaradi varnosti mora biti nadzor omejen, obstajati pa mora možnost naknadnega ugotavljanja, kdo in kdaj je vstopil v varovan del prostorov. Navedenih ciljev ne more doseči s popolnoma anonimnimi podatki, lahko pa ga doseže s psevdonimiziranimi podatki, npr. vstop se omogoča s pomočjo kartice, na kateri ni identifikacijskih podatkov, le elektronsko shranjeno upravičenje za dostop in negovoreča številka kartice, kartico dobi upravičenec ob izpolnjevanju vnaprej določnih pogojev, v primeru varnostnega incidenta pa je mogoče ugotoviti, kdo je daj vstopil v varovan prostor.

Anonimizacija pa praviloma temelji na uporabi specifičnih metod in tehnik, s katerimi razosebimo podatke tako, da praviloma nihče več iz njih ne more ugotoviti, na koga se nanašajo. Takšne metode običajno vključujejo statistične obdelave (izračun povprečij, deležev, trendov ipd.) s katerimi iz več osebnih podatkov pridemo do posameznih podatkov), dodajanje šuma, generalizacijo in randomizacijo in druge metode s katerimi dosežemo, da iz podatkov ni več mogoče priti do določenega ali določljivega posameznika. Zgolj brisanje identifikacijskih podatkov pogosto še ne predstavlja anonimizacije, temveč je treba preveriti možnost določljivost posameznika tudi iz preostalih podatkov, konteksta in drugih razpoložljivih informacij. Anonimizacijskih skrivnosti ni oziroma jih je (če so bile uporabljene ustrezne anonimizacijske metode in tehnike) praktično nemogoče ugotoviti. Z anonimiziranimi podatki seveda ne moremo vedno doseči istih ciljev kot s psevdonimiziranimi, številne cilje obdelave pa še vedno lahko učinkovito dosežemo tudi z anonimiziranimi podatki:

Primer: Upravljavec ceste želi prešteti število osebnih vozil na določnemu odseku ceste v njegovem upravljanju. Cilje lahko doseže z anonimiziranimi osebnimi podatki, saj ga ne zanima identiteta voznikov.

Več o anonimizacijskih metodah in tehnikah si lahko preberete v smernicah Evropskega odbora za varstvo podatkov,